Configurar usuarios de Escritorio Remoto permite a los equipos de TI controlar quién puede acceder a los sistemas de forma remota. El software de acceso remoto permite a los técnicos controlar los dispositivos a distancia para la resolución de problemas, la gestión de aplicaciones y la reparación. Sin embargo, el Escritorio remoto puede plantear problemas de seguridad debido a las vulnerabilidades de seguridad, por lo que una gestión adecuada de los usuarios de Escritorio remoto en Windows permite a los técnicos ofrecer una asistencia remota más segura.
En este post exploraremos los elementos esenciales para configurar usuarios de Escritorio remoto en Windows y profundizaremos en la adición o eliminación de usuarios en un grupo.
La mejor forma de gestionar usuarios de Escritorio remoto en Windows
El acceso para editar grupos de usuarios requiere permisos de administrador en el sistema. Asimismo, es necesario habilitar el Escritorio Remoto en los dispositivos para permitir las conexiones de escritorio remoto. Ten en cuenta también la versión de Windows con la que trabajas. Por último, asegúrate de que la versión de Windows con la que trabajas es compatible con los Grupos de usuarios de Escritorio remoto. Windows 7 Starter, Windows 7 Home, Windows 8 Home, Windows 8.1 Home y Windows 10 Home no son compatibles con el cliente de Escritorio remoto.
Cómo añadir un usuario al Grupo de Usuarios de Escritorio Remoto
Cómo añadir un usuario al grupo Usuarios de Escritorio Remoto mediante la GUI de Windows
- Pulsa Win + Re introduce«compmgmt.msc» para abrir Administración de equipos.
- Expande Usuarios y grupos locales y, a continuación, haz clic en Grupos.
- Haz doble clic en el grupo Usuarios de Escritorio Remoto en el panel derecho.
- Selecciona«Añadir…»y escribe los nombres de usuario que desees añadir. También puedes ir a Avanzado > Buscar ahora para examinar las cuentas disponibles.
- Cuando hayas terminado de seleccionar todos los usuarios, haz clic en OK para confirmar el cambio.
Cómo añadir un usuario al grupo Usuarios de Escritorio Remoto mediante PowerShell
- Si tienes privilegios de administrador, abre un Powershell elevado.
- Introduce este script a continuación y reemplaza«Usuario»con el nombre de usuario que deseas agregar:
[code block]Add-LocalGroupMember -Group «Remote Desktop Users» -Member «User»[/code block] - Puedes verificar si el usuario ha sido añadido introduciendo esto en PowerShell:
[code block]Get-LocalGroupMember -Group «Remote Desktop Users»[/code block]
Cómo añadir un usuario al grupo Usuarios de Escritorio Remoto utilizando el Símbolo del sistema
- Si tienes privilegios de administrador, abre un símbolo del sistema elevado.
- Introduce este código para añadir un usuario al grupo Usuarios de Escritorio Remoto. Asegúrate de sustituir <User> por el nombre de usuario que quieres añadir:
[code block]net localgroup «Remote Desktop Users» <User> /add [/code block] - Pulsa Intro.
Cómo eliminar un usuario del Grupo de Usuarios de Escritorio Remoto
Cómo eliminar un usuario del grupo Usuarios de Escritorio Remoto mediante la GUI de Windows
- Pulsa Win + Re introduce «compmgmt.msc» para abrir Administración de equipos.
- Expande Usuarios y grupos locales y, a continuación, haz clic en Grupos.
- Haz doble clic en el grupo Usuarios de Escritorio Remoto.
- Selecciona todos los usuarios que quieras eliminar y haz clic en Eliminar.
- Aplica estos cambios haciendo clic en«Aceptar».
Cómo eliminar un usuario del grupo Usuarios de Escritorio remoto mediante PowerShell
- Abre PowerShell como administrador.
- Introduce este script a continuación y reemplaza «Usuario» con el nombre de usuario que deseas agregar:
[code block]Remove-LocalGroupMember -Group «Remote Desktop Users» -Member <Username>[/code block] - Para comprobar si el usuario se ha eliminado correctamente, introduce lo siguiente en PowerShell:
[code block]Get-LocalGroupMember -Group «Remote Desktop Users»[/code block].
Cómo eliminar un usuario del grupo Usuarios de Escritorio Remoto utilizando el Símbolo del sistema
- Como administrador, abre un símbolo del sistema elevado.
- Introduce esto, pero sustituye <User> por el nombre de usuario que deseas añadir:
[code block]net localgroup «Remote Desktop Users» <User> /delete [/code block] - Pulsa Intro para confirmar la eliminación del usuario.
¿Qué es el Grupo de Usuarios de Escritorio Remoto?
El grupo Usuarios de Escritorio Remoto es un grupo de usuarios para dispositivos Windows. Está diseñado para controlar quién puede acceder remotamente a los dispositivos de endpoint a través del Protocolo de Escritorio Remoto (RDP). A los miembros de un grupo de usuarios de Escritorio remoto de Windows se les conceden permisos específicos para establecer sesiones remotas con un dispositivo sin dejar de restringir el acceso a las funciones básicas del sistema.
Permite que tus técnicos ofrezcan una asistencia remota más rápida siguiendo nuestra guía sobre las mejores prácticas de acceso remoto.
Permisos concedidos a los miembros del Grupo de Usuarios de Escritorio Remoto
Formar parte de un Grupo de Usuarios de Escritorio Remoto otorga privilegios a sus miembros. Los usuarios pueden iniciar sesión en sistemas remotos aunque no tengan privilegios administrativos completos. Además, aunque los miembros tienen acceso remoto, el grupo no les permite modificar configuraciones críticas del sistema a menos que sus cuentas individuales tengan privilegios de administrador.
Problemas de seguridad causados por una gestión inadecuada de los grupos de usuarios de Escritorio remoto
Credenciales inseguras o débiles
Los inicios de sesión remotos RDP requieren una contraseña para acceder. Sin embargo, estas contraseñas pueden ser cualquier cosa establecida por el usuario final, que puede no tener en cuenta la seguridad de la contraseña. Unas credenciales de inicio de sesión débiles hacen que los dispositivos sean más susceptibles a ataques de fuerza bruta.
Filtraciones de datos
Los hackers pueden aprovecharse de conexiones de escritorio remoto comprometidas o mal gestionadas para obtener acceso no autorizado a los dispositivos. Esto a menudo conduce a una brecha de datos que puede comprometer, perder o exponer archivos sensibles.
Acceso a puertos sin restricciones
Las conexiones del Protocolo de Escritorio Remoto (RDP) suelen producirse en el puerto TCP 3389 del dispositivo host, lo que permite a los hackers atacar este puerto y obtener acceso no autorizado. Una gestión inadecuada de los escritorios remotos hace que este puerto sea vulnerable a los ataques.
Resolución de errores de grupo de usuarios de Escritorio remoto de Windows
Mensaje «El usuario sigue sin poder conectarse»
Asegúrate de que el Escritorio Remoto está activado en el equipo host. Para ello, ve a Ajustes > Escritorio remoto. Las cuentas también podrían carecer de los permisos necesarios debido a las políticas de seguridad locales.
Firewall que bloquea el RDP
Asegúrate de que el firewall del host o de la red permitan el tráfico entrante en el puerto TCP 3389.
Errores causados por conflictos de directivas de grupo
Genera un informe de políticas para comprobar si alguna política de grupo local o de dominio entra en conflicto con tu configuración de acceso RDP. Haz clic en Win + R y, a continuación, introduce «gpresult /h report.html» para obtener un informe de todas tus políticas.
Problemas de dirección IP
Comprueba si la máquina remota tiene una IP estática o dinámica. Puedes utilizar «ipconfig /all» a través del símbolo del sistema de Windows.
Prácticas recomendadas para la gestión del acceso a Escritorio remoto
Limitar el acceso RDP
Sigue el principio del mínimo privilegio para evitar cualquier acceso RDP no autorizado. Cuantos menos usuarios tengan acceso RDP, menor será la superficie de ataque.
Implementar 2FA para una mayor seguridad
La autenticación de dos factores (2FA) refuerza la seguridad del acceso remoto añadiendo una capa adicional de protección.
Actualizar sistemáticamente los permisos de acceso de los usuarios
Realiza auditorías periódicas del grupo Usuarios de Escritorio remoto para poder eliminar las cuentas que ya no necesiten acceso.
Preguntas más frecuentes (FAQ)
-
¿Puedo añadir usuarios al grupo de usuarios de Escritorio remoto de forma remota?
Sí, pero primero tienes que asegurarte de que tienes acceso administrativo a la máquina antes de intentarlo. Puedes utilizar herramientas de gestión remota como PowerShell o una aplicación de terceros como NinjaOne.
-
¿Qué ocurre si elimino a un usuario del grupo de usuarios de Escritorio remoto?
Una vez eliminado, el usuario ya no podrá iniciar nuevas sesiones remotas en la máquina. Cualquier sesión RDP activa que tenga permanecerá operativa hasta que se desconecte o se reinicie el sistema.
-
¿Existen formas alternativas de gestionar el acceso RDP?
Sí, existen varios métodos para gestionar usuarios de Escritorio remoto en Windows, como las directivas de grupo de Active Directory (AD), que permiten a los usuarios del dominio controlar los permisos RDP.
Acelera los procesos de gestión de Windows y de escritorio remoto con la herramienta todo en uno de NinjaOne.
Gestiona los usuarios de Escritorio remoto en Windows de forma fácil y rápida
La configuración proactiva de los usuarios de Escritorio Remoto minimiza la posibilidad de un ciberataque a la vez que proporciona a los técnicos una experiencia de usuario de acceso remoto más sencilla. Comprueba regularmente la pertenencia a tu grupo de Usuarios de Escritorio Remoto para confirmar que no se han añadido usuarios no autorizados.
NinjaOne consolida la gestión de endpoints de Windows con el acceso remoto en un único panel de control, por lo que es más eficiente para los equipos de TI y proveedores de servicios gestionados (MSP) gestionar a gran escala. Para dar más flexibilidad a los equipos de TI, NinjaOne también ofrece una integración perfecta con las herramientas de control remoto líderes del sector. De hecho, los clientes de NinjaOne han observado una reducción media del volumen de tickets y del tiempo de resolución del 94 %. Reduce tu pila tecnológica a la vez que aumentas la visibilidad y el control de tus dispositivos con NinjaOne. Empieza hoy mismo con una prueba gratuita.
